MS02-008: Il controllo XMLHTTP in MSXML 4.0 può consentire l'accesso a file locali

Per ulteriori informazioni su questo problema, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base riportato di seguito:

MS02-008 318203 : il controllo XMLHTTP in MSXML 3.0 può consentire l'accesso a file locali

MS02-008 318202 : il controllo XMLHTTP in MSXML 2.0 può consentire l'accesso a file locali

Sintomi

È presente una vulnerabilità legata all'intercettazione di informazioni personali che potrebbe consentire a un utente malintenzionato di leggere file nel file system locale di un utente visita un sito web appositamente predisposta.

L'utente malintenzionato non sarebbe possibile aggiungere, modificare o eliminare i file. Inoltre, l'utente malintenzionato non sarebbe possibile utilizzare posta elettronica per sferrare l'attacco. la vulnerabilità può essere sfruttata solo tramite un sito Web. Gli utenti particolarmente attenti cautele ed evitano di visitare siti sconosciuti o non attendibili sono meno esposti a questa vulnerabilità.

Causa

La vulnerabilità poiché il controllo XMLHTTP di Microsoft XML Core Services non rispetta le restrizioni dell'area di protezione di Internet Explorer. In questo modo una pagina Web specificare un file sul sistema locale dell'utente come un'origine dati XML come mezzo per la lettura del file.

Risoluzione

Per risolvere questo problema, procurarsi il service pack più recente per Microsoft SQL Server 2000. Per ulteriori informazioni, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:
290211 come ottenere il service pack più recente di SQL Server 2000
Il seguente file è disponibile per il download da Microsoft Download Center:
Download Download del pacchetto Msxml4qfe.exe. Data di rilascio: 21 febbraio 2002

Per ulteriori informazioni su come scaricare i file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 come ottenere file di supporto Microsoft dai servizi online
Microsoft ha analizzato questo file per individuare eventuali virus. Microsoft ha utilizzato il software antivirus più recente disponibile alla data in cui il file è stato registrato. Il file è archiviato in server con protezione avanzata che consentono di prevenire modifiche non autorizzate al file.
La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate in base al formato UTC (Coordinated Universal Time Coordinated). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda fuso orario nello strumento Data e ora nel Pannello di controllo.
   Date         Version       Size        File name     Platform
-------------------------------------------------------------
07-Feb-2002 4.00.9406.0 1,229,312 Msxml4.dll x86
07-Feb-2002 4.00.9406.0 44,544 Msxml4a.dll x86
07-Feb-2002 4.00.9406.0 82,432 Msxml4r.dll x86

Per installare questa correzione, è necessario Windows Installer 2.0 o versione successiva. Potrebbe essere necessario riavviare il computer dopo l'installazione di Windows Installer 2.0 o versione successiva di Windows Installer.

Per scaricare Windows Installer, visitare uno dei seguenti siti Web Microsoft:

Nota: Gli utenti di Windows XP è possono ignorare questo passaggio.

Stato

Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft XML 4.0. Il problema è stato risolto in Microsoft SQL Server 2000 Service Pack 3. Il problema è stato corretto in Microsoft XML 4.0 Service Pack 1.
Per scaricare l'ultima versione di MSXML, visitare il seguente sito Web Microsoft:

Ulteriori informazioni

Le versioni interessate di MSXML fornite con numerosi prodotti. È necessario applicare la patch ai sistemi con uno qualsiasi dei seguenti prodotti Microsoft:
  • Microsoft Windows XP
  • Microsoft Internet Explorer 6.0
  • Microsoft SQL Server 2000
MSXML può inoltre essere installato separatamente. MSXML viene installata come DLL nella sottocartella System32 della cartella del sistema operativo Windows. Nella maggior parte dei sistemi, tale cartella sarà C:\Windows o C:\winnt. Se si dispone di uno o più dei seguenti file nella cartella System32, è necessario installare la patch:
  • Msxml2.dll
  • Msxml3.dll
  • Msxml4.dll
Se si dispone solo MSXML. dll, non è necessaria la patch poiché si tratta di una versione precedente, non interessata.

Importante Il programma di installazione di hotfix per questa patch non dispone di una funzione di disinstallazione.

Riferimenti

Per ulteriori informazioni su questa vulnerabilità, vedere il seguente sito Web Microsoft:
Proprietà

ID articolo: 317244 - Ultima revisione: 30 gen 2017 - Revisione: 2

Feedback